ブロックチェーンやキー管理などのセキュリティ要件が厳しい企業向けに、Container Service For Kubernetes (ACK) は、ハードウェア暗号化技術に基づくクラウドネイティブでオールインワンの機密コンピューティングコンテナプラットフォームを提供します。 このプラットフォームは、信頼できる実行環境 (TEE) 内での機密データとコードの安全な処理を可能にし、不正アクセスを防止し、データ侵害のリスクを軽減します。 コンソールを使用して機密コンピューティング管理クラスターを作成することで、信頼できるアプリケーションまたは機密アプリケーションの開発と管理に関連するコストを最小限に抑えながら、データの機密性を高めることができます。
前提条件
ACKが有効化され、他のクラウドリソースへのアクセスが許可されます。 詳細については、「有効化とACKへのアクセス許可の付与」をご参照ください。
制限事項
項目 | 制限事項 | クォータ制限 /参照の増加に関するリンク | |
ネットワーク | ACKクラスターはVPCのみをサポートします。 | ||
クラウドリソース | ECS | 従量課金およびサブスクリプション課金方法がサポートされています。 ECSインスタンスの作成後、ECSコンソールで課金方法を従量課金からサブスクリプションに変更できます。 | |
VPCルートエントリ | デフォルトでは、Flannelを実行するACKクラスターのVPCに最大200のルートエントリを追加できます。 Terwayを実行するACKクラスターのVPCにはこの制限はありません。 ACKクラスターのVPCにさらにルートエントリを追加する場合は、VPCのクォータの増加をリクエストします。 | ||
セキュリティグループ | デフォルトでは、各アカウントで最大100のセキュリティグループを作成できます。 | ||
SLB instances | デフォルトでは、各アカウントで最大60の従量課金SLBインスタンスを作成できます。 | ||
EIP | デフォルトでは、各アカウントで最大20のEIPを作成できます。 |
手順
ACKコンソールにログインします。 左側のナビゲーションウィンドウで、[クラスター] をクリックします。
[クラスターテンプレート] をクリックし、[管理クラスター] エリアで [機密コンピューティングクラスター] を選択し、[作成] をクリックします。
[ACK管理クラスター] タブで、クラスターの設定を完了します。
機密コンピューティング用のACK管理クラスターを作成するときに、次の表の必要に応じてパラメーターを設定します。 そうしないと、作成されたクラスターはIntel SGXアプリケーションを実行できません。 クラスター設定の詳細については、「ACK管理クラスターの作成」をご参照ください。
パラメーター
説明
機密コンピューティング
クラスターの機密コンピューティング機能を有効にするには、[有効化] を選択します。
ゾーン
Security-enhanced Compute Optimized Type c7t、Security-enhanced General Purpose Type g7t、Security-enhanced Memory Optimized Type r7tのインスタンスファミリーのみが機密コンピューティング用のACKマネージドクラスターをサポートしています。 選択したゾーンがこれらのインスタンスファミリーをサポートしていることを確認します。 異なるリージョンおよびゾーンで使用可能なECSインスタンスタイプの詳細については、「各リージョンで使用可能なインスタンスタイプ」をご参照ください。
Container Runtime
containerdバージョン1.4.4以降を選択します。
[インスタンスタイプ]
次のインスタンスファミリーからインスタンスタイプを選択します。Security-enhanced Compute Optimized Type c7t、Security-enhanced General Purpose Type g7t、Security-enhanced Memory Optimized Type r7t。
説明Intel Ice Lakeは、Intel Software Guard Extensions Data Center attestation Primitives (SGX DCAP) に基づくリモート認証サービスのみをサポートしています。 Intel Enhanced Privacy Identification (EPID) に基づくリモート認証サービスはサポートされていません。 リモート認証サービスを使用する前に、アプリケーションを調整する必要があります。 リモート認証サービスの詳細については、「attestation-services」をご参照ください。
オペレーティングシステム
[Alibaba Cloud Linux 2.xxxx 64ビット (UEFI)] を選択します。
ネットワークプラグイン
Flannelのみがサポートされています。
プロンプトに従ってパラメーターを設定した後、設定を確認し、利用規約を読んで選択し、[クラスターの作成] をクリックします。
クラスターの作成後、ACKコンソールの [クラスター] ページでクラスターを確認できます。
説明複数のノードを含むクラスターを作成するには、約10分かかります。
関連ドキュメント
機密コンピューティングをサポートするノードプールを作成できます。 デフォルトでは、ノードプール内のノードはTEEベースの機密コンピューティングをサポートしています。 詳細については、「機密コンピューティングをサポートするノードプールの作成」をご参照ください。
展開したら、Use TEE SDK to development and build Intel SGX 2.0アプリケーションを参照して、TEE-SDKに基づいてSGX 2.0アプリケーションを開発、ビルド、および展開します。
Trust Domain Extensions (TDX) 機密VMをサポートするノードプールを作成して、TDX機密コンピューティング機能を備えた既存のクラスターを有効にすることもできます。 詳細については、「TDX機密VMをサポートするノードプールの作成」をご参照ください。
デプロイ後、Stable Diffusion XL Turboモデルを使用して、g8i CPUインスタンスでGPUのようなパフォーマンスを体験できます。 詳細については、「CPUアクセラレーションを使用したテキストからイメージへの推論の安定拡散XLターボモデルの高速化」をご参照ください。